Gestern hat der Europäische Gerichtshof (EuGH), für Fachleute nicht ganz unerwartet, entschieden, dass das sogenannte Privacy Shield nichtig ist. Das Privacy Shield ist die wichtigsten Rechtsgrundlagen für den Datentransfer in die USA gewesen.
Die Reichweite dieses Urteils ist so immens, da gerade die großen Player US-Amerikanische Unternehmen sind. Daten werden bei diesen Unternehmen in der Regel in den USA gespeichert und nicht etwa auf in der EU befindlichen Servern.
Die Nichtigkeit des Privacy Shields führt dazu, dass Datenübertragungen in die USA, die auf das Privacy Shield gestützt waren, nicht mehr zulässig sind. Der EuGH hat die weitere Rechtsgrundlage, die sogenannten Standardvertragsklausel, zwar noch bestehen lassen. Jedoch führt das Gericht aus, dass diese Klauseln im Einzelfall von den Datenschutzbehörden überprüft werden müssten. Da auch bei den Standardvertragsklauseln maßgebliche Kriterium ein angemessenen Datenschutzniveau ist, bleibt abzuwarten, wie die Behörden damit umgehen werden. Denn gerade das Datenschutzniveau der USA ist fragwürdig – dies hat auch der EUGH in seinem Urteil ausgeführt und es unter anderem zur Grundlage seiner Entscheidung gemacht.
Was ist zu tun?
- alle Verträge mit Dienstleistern auf Datenübermittlungen in die USA hin zu überprüfen und sicherstellen, dass Standardvertragsklauseln greifen
- keine Dienstleister mit Subunternehmen in den USA einsetzen
- Datenschutzerklärungen und Verträge anpassen
- auf Anbieter mit Serverstandorten in der EU ausweichen
- wenn keine Standardvertragsklauseln oder alternative Anbieter bestehen, die Einwilligung der betroffenen Nutzer einholen
Da die Datenübertragung in die USA ohne Rechtsgrundlage, also insbesondere ohne Standardvertragsklausel oder Einwilligung, ab sofort unzulässig ist, drohen Konsequenzen, wenn sie ohne Grundlage vorgenommen wird. Dies Maßnahmen der Datenschutzbehörden nach sich ziehen. So kann die Unterlassung des Einsatzes der entsprechenden Dienste verlangt und ein Bußgeld verhängt werden (bis 4% des Umsatzes bzw. bis zu 20 Millionen Euro – maßgeblich ist der höhere Betrag). Kunden können ihre Betroffenenrechte und unter Umständen auch Schmerzensgeld geltend machen. Auch Abmahnungen von Wettbewerbern oder Verbraucherschutzverbänden sind nicht auszuschließen, auch wenn nach wie vor nicht abschließend geklärt ist, ob Verstöße gegen die DSGVO abmahnfähig sind.